mod_rpaf (Reverse Proxy Add Forward)是 Apache 2.2 及更低版本中一个很有用的第三方模块,主要用于后端 Web Server ,可以将请求的 remote ip 重写为指定的字段(例如 X-Forwarded-For 或者 X-Real-IP )。很多网站目前都采用 nginx + Apache 的组合,这个模块可以使得转发对应用透明,应用按照普通方法即可获取到真实 IP ,不用修改代码来读取指定的 HTTP Header 。更优秀的是,这个模块对日志也是同样有用的—— access/error log 中记录的 IP 地址也会被修改为真实的 IP 。另外这个模块的自定义功能也很强大,可以任意指定使用哪一个 HTTP Header 字段、接受哪些前端转发 IP 等等。
然而正因为其强大,使得用户想当然地认为它在所有地方都有效,不曾想在 Apache 的访问控制(allow/deny 指令)中,该模块无效,访客 IP 仍旧是前端转发服务器的 IP !这个行为没有在文档中明确说明。我因此差点弄出了一个严重的安全问题——为了监控服务器我开启了 server-status ,本想都允许网关服务器访问以便在一个地方统一收集数据,就写了类似 allow from gate
这样的东西,结果 server-status 就一下子“门户大开”,所有人都可以看到了(因为都是经过前端网关代理的)。这个“问题”对 mod_rpaf 而言没有解决方案(除非修改代码)。另一个类似功能的模块 mod_remoteip (Apache 2.4 自带,有 backport 到 2.2 的版本)可以使得 allow/deny 能够使用真实 IP 。